Привет! Моя топология такая: Интернет — Модем (Bridge) — MikroTik (pppoe) — Свитч — LAN Модем = 10.0.0.1
MikroTik ether1 (к Модему) = 10.0.0.2
MikroTik ether2 (к LAN) = 192.168.1.2
LAN = 192.168.1.xxx/24
У меня 2 вопроса: Как заблокировать ping с Интернета к MikroTik, но чтобы MikroTik по-прежнему мог пинговать Интернет (google.com)? Я попробовал с ip firewall filter chain=input action=drop protocol=icmp in-interface=pppoe-out1. Это работает для блокировки ping с Интернета, но MikroTik больше не может пинговать Интернет. Я хочу, чтобы MikroTik по-прежнему мог пинговать Интернет. LAN тоже может пинговать Интернет. Цель — заблокировать злоумышленника/хакера с Интернета, пытающегося пинговать мою сеть.
Как заблокировать ping с LAN к ether1 (Модем (Bridge) & MikroTik)? Не блокировать с помощью IP, а блокировать с помощью интерфейса ether1. Я пробовал с ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.1 in-interface=ether2
ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.2 in-interface=ether2
Это работает, но блокируется по IP, что неэффективно, если у меня много устройств в сети 10.0.0.0/24, тогда мне нужно добавить их все. Думаю, проще просто заблокировать ether1, возможно ли это?
MikroTik ether1 (к Модему) = 10.0.0.2
MikroTik ether2 (к LAN) = 192.168.1.2
LAN = 192.168.1.xxx/24
У меня 2 вопроса: Как заблокировать ping с Интернета к MikroTik, но чтобы MikroTik по-прежнему мог пинговать Интернет (google.com)? Я попробовал с ip firewall filter chain=input action=drop protocol=icmp in-interface=pppoe-out1. Это работает для блокировки ping с Интернета, но MikroTik больше не может пинговать Интернет. Я хочу, чтобы MikroTik по-прежнему мог пинговать Интернет. LAN тоже может пинговать Интернет. Цель — заблокировать злоумышленника/хакера с Интернета, пытающегося пинговать мою сеть.
Как заблокировать ping с LAN к ether1 (Модем (Bridge) & MikroTik)? Не блокировать с помощью IP, а блокировать с помощью интерфейса ether1. Я пробовал с ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.1 in-interface=ether2
ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.2 in-interface=ether2
Это работает, но блокируется по IP, что неэффективно, если у меня много устройств в сети 10.0.0.0/24, тогда мне нужно добавить их все. Думаю, проще просто заблокировать ether1, возможно ли это?
